Les DSI,  et les chefs de la sécurité de l'informatique spécifiquement, font face à de multiples challenges en termes d’efficacité des programmes de sécurité informatique. Les sociétés de sécurité informatique doivent trouver et maintenir le juste équilibre entre conformité et efficacité, tout en maîtrisant les dépenses d’ingénierie de la sécurité informatique et ses normes opérationnelles. Les questions récurrentes  que se posent les DSI et les chefs de la sécurité de l'informatique en termes de sécurité de l’information sont les suivantes :

  • Mes ressources allouées à la sécurité informatique appréhendent-elles efficacement les risques de l’entreprise ?
  • Combien de salariés occupent des fonctions liées à la sécurité dans mon organisation ? Quelles sont leurs missions ? Pourquoi notre organisation échoue-t-elle lors des audits alors que nous avons autant de personnel qualifié ? Nos processus de sécurité qualifient-ils réellement les risques  encourus plus que suivre une procédure « déjà en place » ?Avons-nous besoin de processus de sécurité plus cohérents, et si oui, comment les définir, les justifier et les mettre en œuvre ?

Protéger l’entreprise contre le risque tout en lui permettant de poursuivre ses objectifs efficacement reste la priorité.  Des cas récents d’actions de piratage organisées contre des sociétés telles que Sony, WordPress.com, Epsilon ou RSA ont mis en évidence l’importance de la sécurité informatique.

Des nombreux outils  permettent de détecter et gérer toutes sortes de vulnérabilités au niveau des infrastructures ou des applications. Beaucoup d’organisations ont investi et implanté  ces  solutions. Cependant, l’absence d’améliorations sous-jacentes des processus liés à la sécurité a rapidement fait prendre conscience aux entreprises que l’utilisation des « wild card » dans la démarche de perception des risques faisait beaucoup augmenter les couts mais ne baissait pas proportionnellement le risque.

« Des processus de sécurité efficaces, complétés d’une sélection d’outils appropriés, permettente de maîtriser à la fois les coût et les risques de façon durable. »

La traditionnelle analyse des coûts et bénéfices pour optimiser les ressources est aussi utile qu’il est important de considérer les risques liés aux paramètres de la sécurité informatique qui vont au-delà des coûts de création d’une approche fondée sur l’optimisation de la sécurité informatique. Ce point de vue aborde trois aspects importants pour instaurer un cycle de vie de sécurité informatique efficace :

  • Optimisation des processus. Optimiser l’organisation de la sécurité informatique afin de rationnaliser les processus apportant une plus grande valeur et permettant une amélioration continuelle de la sécurité dans la gestion des risques internes  et des menaces externes
  •  Indicateurs de performances clés. Développer des indicateurs de performances clés pour l’ensemble de l’organisation de la sécurité informatique et de  son efficacité  au sein de toute l’entreprise
  • Indicateurs de risque clés. Mettre en place des indicateurs de risque clés pour évaluer l’appétence au risque de   l’organisation de la sécurité informatique

Pour lire l’intégralité de l’étude : cliquer ici.

16 mai 2012